万户OA /defaultroot/evo/weixin/WeiXin!callback.action XML 外部实体注入漏洞

日期: 2026-01-16 | 影响软件: 万户OA | POC: 否

漏洞描述

系统微信回调接口/defaultroot/evo/weixin/WeiXin!callback.action存在XML外部实体注入(XXE)漏洞,该接口接收XML格式的请求数据但未对XML实体进行过滤和限制。攻击者可构造包含恶意外部实体的XML数据发送至该接口,触发XXE漏洞,可导致服务器发起指定的网络请求(如DNS查询),若服务器配置不当,还可能读取服务器本地文件、执行恶意代码等,造成敏感信息泄露、服务器受控等严重风险。

PoC代码

暂无

相关漏洞推荐